云宏大讲坛 | 灵活轻便的云宏CNware虚拟防火墙

防火墙是位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出,是系统的第一道防线,其作用是防止非法用户的进入。虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。

以上描述的防火墙一般用于数据中心内部网络和外部网络之间,而云宏君接下来描述的虚拟防火墙则有所不同,它用于数据中心内部网络中虚拟机与虚拟机、虚拟机与物理机之间的网络通信,是一种虚拟网络的网络流量控制防火墙解决方案。


传统虚拟防火墙解决方案大体是参考物理机的防火墙实现

传统虚拟防火墙解决方案大体是参考物理机的防火墙实现,在虚拟机内运行虚拟机防火墙软件,算是更完整地贯彻虚拟的方针。

为了便于调控虚拟防火墙的策略和配置,每台物理机上都需要部署一个防火墙模块,以接收来自防火墙控制器发送的配置信息和防火墙策略进行网络流量的检测。在主机集群的控制节点上部署防火墙控制器,用于对整个集群环境中所有的防火墙模块进行统一管理和策略配置。用户或云计算管理节点的防火墙策略信息发送给防火墙控制器,实现对虚拟防火墙的调控。

换言之,防火墙控制器需要建立连接,用户配置的防火墙策略信息必须通过防火墙控制器的可实施性预分析,才能将用户配置的防火墙策略信息发送给防火墙模块。一旦连接断开,就需要用户根据控制器反馈信息进行修改。除此之外,采用虚拟防火墙软件方式安装防火墙,通常需要安装其他不相干的模块,哪怕实际上只用得上防火墙模块。而且有的防火墙软件过滤规则要逐条过滤网络流量,性能较差。

云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表

为了有效地解决传统方案的弊端,云宏CNware虚拟防火墙采用了基于OpenvSwitch(简称OVS)的openflow流表,配置网络流量过滤规则实现虚拟防火墙功能。CNware虚拟化主机默认采用OVS作为网络管理堆栈。物理主机下面的虚拟机网络通信都会经过OVS下面的bridge,bridge的作用就是虚拟交换机。在bridge上设置openflow流表规则,就可以控制网络流量的通过,实现虚拟防火墙的功能。

云宏CNware虚拟防火墙通过程序下发用户自定义规则到openflow,能使网络流量交由openflow进行过滤,下发的规则信息包括防火墙规则所属物理主机、源类型、源对象值、协议、端口号、目标类型、目标对象值、单双向等信息。数据包符合规则的就可以通过虚拟交换机(列入白名单),反之则不能通过(列入黑名单)。

与传统方案相比,云宏CNware虚拟防火墙不需要防火墙控制器模块,避免防火墙控制的连接问题,而且层次结构更加简洁,性能更高效。另外,解决方案使用IP、IP段、MAC等多种配置规则,配置策略更丰富、更灵活。

原文地址:http://blog.51cto.com/14035356/2348421

时间: 2024-11-05 20:44:13

云宏大讲坛 | 灵活轻便的云宏CNware虚拟防火墙的相关文章

云宏大讲坛 | 容器编排引擎Kubernetes的那些事儿

原创:Higx (Vol. 040) 云宏大讲坛Vol. 040 在不久前<容器的前世今生>中,追求技术前沿的小伙伴对于容器技术的发展历史已经抓住了脉络.但对于容器编排引擎Kubernetes的概念,则了解得较为模糊.那么,Kubernetes究竟是什么? Kubernetes的希腊语意为"舵手",缩写为k8s.正所谓"大海航行靠舵手,容器运行靠编排",Kubernetes的主要功能就是调度控制容器的一切.目前,Kubernetes已经成为容器编排调度的

云宏大讲坛 | 容器的前世今生

容器是什么? 专业地讲,容器是实现操作系统虚拟化的一种途径,可以让用户在资源受到隔离的进程中运行应用程序及其依赖关系:简单地讲,容器就是基于linux内核技术的一种隔离手段. 很多人认为容器就是另外一种虚拟机(VM).实际上,虚拟机通过Guest OS来运行对应的应用的,而容器通过使用Docker Engine使用系统原生隔离技术进行隔离. 虚拟化和容器的对比 为啥这样做?有什么好处呢?这就从PaaS的出现开始说起了. PaaS(Platform-as-a-Service,平台即服务)把服务器平

【云宏大讲坛】超融合,融合的不仅是基础架构

Gartner的技术成熟度曲线表明,当前超融合开始进入快速成长期,随着数字化转型和业务全面云化的推进,超融合的势力范围不断扩张.而据IDC数据显示,2017年中国超融合市场同比增长115.3%,整体市场规模达到3.793亿美元,超融合表现出强劲的市场主流的潜力. 目前超融合市场日趋繁盛,但产品形态同质化.成熟度参差不齐的问题给用户选型带来了困扰.经过对大量现有客户的需求调研,以及对企业云计算市场趋势的洞察,云宏的超融合产品进行多次版本迭代,已经演变成企业专有云神器. 云宏超融合在计算.网络和存储

【云宏大讲坛】关键应用在超融合环境下的实践

(传统承载关键应用的机器架构正在加速瓦解,越来越多核心应用迁移到虚拟化平台.超融合系统的成熟和普及,更让关键应用得到新型的实践.) 关键应用,是指对业务连续性和性能都要求非常高的应用,如ERP.CRM.核心交易系统等.一旦出现系统不可用或性能下降等情况,便会对企业生产.财务.名誉产生严重影响. 传统承载关键应用的小型机.SAN架构组合正加速瓦解,越来越多的核心应用已经迁移到了虚拟化平台运行,SAN存储也逐渐被x86服务器和基于闪存的分布式存储所替代.而虚拟化与分布式存储的天然组合--超融合,紧密

云宏大讲坛 | SDN、NV在云数据中心的应用场景

随着云计算技术的高速发展,IT基础架构也处于快速变化中,以适应新技术层出不穷的要求.以云数据中心网络设备而言,IT基础架构的变化对网络运维带来了一些新挑战: 应用架构的转变 业务的转型导致基于服务和Web的应用大量增加.这种转变导致云数据中心中存在大量的服务器到服务器的东西向通信流量,同时,这些服务器间的通信也要求有安全隔离. 多数据中心的需求 从可用性和灵活性考虑,越来越多的用户考虑将业务部署到多个数据中心.用户希望在数据中心间方便互联互通,从而实现应用的容灾或多活部署. 虚拟化技术应用广泛

云宏大讲坛 | 饭局排桌子,排出了分布式资源调度高级规则

春节的时候,云宏君与小伙伴们在网红店门口探讨了一番DRS分布式资源调度. 春节一顿饭,吃懂了分布式资源调度 道理我们都懂,具体怎么操作? 我们继续拿饭桌来打个比方--如果把数据中心比作一场宴席,那么服务器就是宴上的桌位,虚拟机就是现场的人. 在上一篇文章,我们解决的是有的桌子人多.有的桌子人少的平衡性问题.然而人都是有想法的,今天,我们就来照顾这些特殊人群的问题-- 资源池中多台物理机负载情况不平均的情况实际上常有出现:负载大的物理机会影响应用程序的性能,负载小的物理机又浪费了资源.传统的物理机

私有云计算保密技术谁家靠谱?云宏CNware?虚拟化平台安全体系设计

10月31日,2018年保密技术交流大会暨产品博览会在青岛隆重开幕.本次信息安全保密科技行业盛会,较往届专业性更强.规模更大,云集了国家有关主管部门领导.专家学者.优秀企业代表共襄盛会.云宏携高安全虚拟化平台CNware?参加本次大会,获得观展领导及专家的一致好评. CNware?高安全虚拟化平台体系 CNware?安全防护体系从物理机安全.虚拟机系统安全.数据安全.网络安全.管理安全等多模块进行安全性设计,搭载的安全核心技术包括虚拟化层防DDoS防御.虚拟防火墙.数据加密.完整性校验.三员管理

要用混合云拿下央企,阿里云杀入企业级市场

(上图为阿里云总裁胡晓明) 一直以来,业界都认为阿里云是面向中小企业的云服务商,这显然是继承了阿里拥有众多小企业电商用户群的印象.然而,阿里云对自己的"野心"远不止于中小企业.长期被IOE盘踞.粘性更强.利润更高的大中型企业,一直是阿里云惦记的市场. 4月20日,阿里云在2016年的首场云栖大会深圳站上,放出了混合云大招以及数十款面向企业级市场的产品,其中Apsara Stack专有云可以说是撬动企业级市场的独门利器.此外,阿里云还宣布与ERP巨头SAP以及ERP实施咨询巨头埃森哲结成

京东云,不止于云计算——京东云华东数据中心简介

京东云京东云,不止于云计算 京东云华东数据中心简介 绿色环保 / 稳定可靠 / 部署简单 / 为企业量身打造云解决方案 采用新型节能加湿系统,降耗 > 70%: 全LED + 光导管照明系统,阳光入室,绿色健康: 非晶合金变压器,运行节能 > 50%: 京东云华东数据中心简介: 创新"线性自然冷却技术",提高回收利用率: 年均PUE < 1.4,全面满足环保要求: 灵活开放,安全无忧,提供定制化服务 一体化架构.模块化设计,应对复杂多变的业务需求: 可与京东云北京及广